+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    718
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 718
    Points : 15 942
    Points
    15 942

    Par défaut WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité

    WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité
    incluant une faille de type injection SQL et cross-site scripting

    Au début de ce mois, l’équipe de WordPress a sorti la version 4.7.1 de son système de gestion de contenu (CMS en anglais). Cette version a été largement dédiée à la correction de failles de sécurité et de bogues. En tout, 8 failles de sécurité ont été corrigées et 62 bogues ont été épurés dans cette version.

    Deux semaines après la sortie de la version 4.7.1 de WordPress, l’équipe de développement du système de gestion de contenu revient sur la scène pour annoncer la sortie d’une nouvelle version (4.7.2) du CMS afin de corriger trois failles de sécurité détectées dans la version précédente (4.7.1).

    La première faille que cette nouvelle version 4.7.2 corrige est celle présente dans la fonction Press This permettant aux utilisateurs WordPress de faire des publications. Cette fonction est accessible aux utilisateurs non autorisés et leur permet d’assigner les items de catégories avec cette fonction alors que cela ne devrait pas être le cas.

    À côté de cette faille, nous avons une vulnérabilité de type XSS (Cross-site scripting) qui a été également corrigée. Les failles XSS sont des failles détectées sur des sites web et qui permettent d’injecter du contenu dans ces pages afin de provoquer des actions non prévues par l’administrateur du site. Dans le cas du correctif apporté par la version 4.7.2 de WordPress, il corrige la faille XSS liée à la classe qui gère la table des listes de messages.

    Une faille non des moindres a également été corrigée dans cette version. Elle situe au niveau de l'API REST et permet à une personne non autorisée d'élever ses privilèges en envoyant du code malveillant vers l'API. Une fois le code reçu par l'API, les personnes malveillantes peuvent en profiter pour éditer les pages web contenant ce bug. A noter que cette faille est présente depuis la version 4.7 de WordPress parue en décembre dernier.

    Enfin, la dernière vulnérabilité à avoir été remaniée dans cette version 4.7.2 de WordPress est une faille favorisant une injection SQL. En général, une telle faille permet d’injecter dans une requête SQL du code non prévu par le système afin de compromettre la sécurité de l’application interagissant avec la base de données. Pour ce qui concerne WordPress 4.7.1, la faille détectée dans cette version affecte la classe WP_QUERY lorsque l’on passe des données non sécurisées. Cette classe est utilisée pour accéder aux variables, fonctions et aux contrôles codés dans le noyau de WordPress. Toutefois, l’équipe de WordPress explique que le noyau du CMS n’est pas directement affecté par ce problème, mais a ajouté ce correctif pour empêcher les plug-ins et les thèmes de provoquer accidentellement une vulnérabilité.

    Vu l’importance des différentes vulnérabilités corrigées, l’équipe de WordPress encourage vivement l’application de la mise disponible depuis quelques jours.

    Source : WordPress

    Et vous ?

    Utilisez-vous ce CMS ?

    Que pensez-vous de ces failles couramment détectées ?

    Voir aussi

    WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters

    La Rubrique Web, Forum Sécurité Web, Cours et tutoriels Web, FAQ Web
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif Avatar de sami_c
    Inscrit en
    mai 2002
    Messages
    732
    Détails du profil
    Informations forums :
    Inscription : mai 2002
    Messages : 732
    Points : 259
    Points
    259

    Par défaut

    Utilisez-vous ce CMS ?
    >> Oui

    Que pensez-vous de ces failles couramment détectées ?
    >> Que les créateurs de WP sont très réactif et sont conscient de l'importance de WP dans le Web. Bien sûr certains vous diront que c'est naz et que les CMS sont mal sécurisé, c'est vrai mais ça dépend du projet, certains peuvent être développé via un framework, d'autres pas, ça dépend du budget alloué. Si un client vous demande de développer un site vitrine, vous avez le choix entre lui proposer de développer le site en WP pour 1000 EUR ou en Symfony pour 2000 EUR !!! Je vous laisse imaginer le choix du client :p
    '...parfois l'informatique peut vous rendre fou...'

Discussions similaires

  1. Réponses: 2
    Dernier message: 08/06/2009, 22h25
  2. Mise à jour Batterie 1.4 pour MacBook
    Par kOrt3x dans le forum Apple
    Réponses: 0
    Dernier message: 03/03/2009, 00h08
  3. Mise à jour : Mail 3.5 pour 10.5.6
    Par kOrt3x dans le forum Apple
    Réponses: 0
    Dernier message: 24/12/2008, 01h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo